Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1
Ostatnie posty
Najpopularniejsze

Madi powraca - nowe sztuczki i nowy serwer C&C

Nicolas Brulez Kaspersky Lab Expert
Dodany 26 lipca 2012, 08:24 CEST
Tagi:


Ostatniej nocy otrzymaliśmy próbkę szkodliwego oprogramowania Madi, o którym szerzej pisaliśmy już w naszym Dzienniku Analityków.

Po odłączeniu serwerów centrum kontroli Madi w zeszłym tygodniu, założyliśmy, że cała operacja umarła. Wszystko wskazuje na to, że byliśmy w błędzie.

Nowa wersja szkodnika została skompilowana 25 lipca 2012 r., co można odczytać z nagłówka:



Nowa odsłona Madi zawiera wiele usprawnień i ciekawych nowych funkcji. Posiada zdolność monitorowania VKontakte (popularny w Rosji portal społecznościowy) oraz konwersacji prowadzonych z użyciem Jabbera. Namierza użytkowników, którzy w polach adresu / wyszukiwania wprowadzają frazy "USA" oraz "gov". W takich przypadkach złośliwe oprogramowanie zbiera zrzuty ekranu i wysyła je na serwer C&C.

Poniżej znajduje się lista wszystkich monitorowanych słów kluczowych:

"gmail", "hotmail", "yahoo! mail", "google+", "msn messenger", "blogger",...



Obecnie badamy nową kampanię rozprzestrzeniania szkodliwego oprogramowania na Facebooku, której celem są w większości francuskojęzyczni użytkownicy. Odwiedzając zainfekowane profile użytkowników, można zobaczyć następujący komunikat:

W tłumaczeniu: Wow, to naprawdę działa! Sprawdź, kto ogląda twój profil!

Odsyłacze wykorzystywane w tej kampanii zmieniają się dość szybko i prowadzą niczego niepodejrzewających użytkowników na stronę zawierającą instrukcje. Strona wygląda tak:

Zasadniczo trzeba wykonać 2 kroki:

  • Po pierwsze, należy skopiować kod Javascript za pomocą kombinacji klawiszy CTRL+C
  • Po drugie, należy odwiedzić Facebook.com, wkleić Javascript w pasek adresu i wcisnąć “Enter”.

Aby mieć pewność, że ofiary wykonają te instrukcje, udostępniono filmik (GIF) szczegółowo opisujący każdy krok; cyberprzestępcy wyraźnie wybierają sobie na cele swoich ataków użytkowników z...


Szantażysta GPCode znowu uderza

Nicolas Brulez Kaspersky Lab Expert
Dodany 28 marca 2011, 10:28 CEST
Tagi:

W listopadzie 2010 roku pisaliśmy o nowym wariancie wirusa szantażysty Gpcode.

W piątek Kaspersky Lab wykrył kolejny nowy wariant mający postać zaciemnionego pliku wykonywalnego. Zagrożenie zostało zidentyfikowane automatycznie przy użyciu Kaspersky Security Network jako UDS:DangerousObject.Multi.Generic.

Do naszych baz danych dodaliśmy już sygnaturę niegeneryczną tego zagrożenia, które jest teraz wykrywane jako Trojan-Ransom.Win32.Gpcode.bn.

Do infekcji szkodnikiem dochodzi podczas odwiedzenia zainfekowanej strony internetowej (atak drive by download).

Po uruchomieniu swojego kodu GPCode generuje 256-bitowy klucz AES (przy użyciu Windows Crypto API) i szyfruje go przy użyciu publicznego 1024-bitowego klucza RSA. Następnie zaszyfrowany klucz zostaje umieszczony na pulpicie zainfekowanego komputera, wewnątrz pliku tekstowego zawierającego treść szantażu:


W przeciwieństwie do próbki z listopada zeszłego...


Spam wykorzystujący trzęsienie ziemi w Japonii infekuje szkodliwym oprogramowaniem - ciąg dalszy.

Nicolas Brulez Kaspersky Lab Expert
Dodany 23 marca 2011, 10:21 CET
Tagi:

W zeszłym tygodniu opublikowaliśmy post na blogu dotyczący krążącego w Sieci spamu wykorzystującego niedawne trzęsienie ziemi w Japonii do infekowania użytkowników. Ten wpis chciałbym poświęcić exploitom wykorzystanym w tej kampanii.

Z naszej analizy wynika, że znajdujące się w wiadomościach spamowych szkodliwe odsyłacze prowadzą do stron internetowych zawierających Incognito Exploit Kit.

Poniżej interesujące zdjęcie z serwerów, na których został zamieszczony ten zestaw exploitów:

A to kolejny przykład wiadomości wysłanej w ramach omawianej kampanii spamowej, tym razem podszywającej się pod wiadomość e-mail z Twittera:

E-mail ten “udaje” wiadomość z działu pomocy Twittera i informuje użytkownika, że ma 6 nieprzeczytanych wiadomości na tym portalu.

Wiadomość zachęca również do obejrzenia filmiku: Inside the Fukushima’s exclusion zone (Wewnątrz strefy wyłączonej w...



Kaspersky Lab wykrył kampanię spamową, która wykorzystuje niedawne trzęsienie ziemi w Japonii do infekowania użytkowników. E-maile zawierają szkodliwe adresy URL:

Jeżeli użytkownik kliknie odsyłacz, zainfekowana strona - wykorzystując exploity JAVA - zainstaluje na jego maszynie szkodliwe aplikacje:


Kaspersky Lab wykrywa te exploity jako: Downloader.Java.OpenConnection.dn oraz Downloader.Java.OpenConnection.do, a zatem nasi klienci są chronieni przed tymi zagrożeniami.

Exploit JAVA znajduje się w domenie znanej z fałszywych produktów antywirusowych. Do zainstalowania innych szkodliwych aplikacji jest wykorzystywany plik VBS (wykrywany już jako Trojan-Downloader.VBS.Small.iz):


Zainfekowany komputer zaczyna wyświetlać zlokalizowane reklamy (w moim przypadku w języku francuskim):



W wyniku tylko jednej udanej infekcji na komputerze było uruchomionych aż pięć szkodliwych plików wykonywalnych, jedna biblioteka...


Keygen z haczykiem

Nicolas Brulez Kaspersky Lab Expert
Dodany 7 marca 2011, 10:27 CET

14 stycznia mój kolega Vyacheslav Zakorzhevsky opublikował post na temat niebezpieczeństw związanych z korzystaniem z cracków i keygenów.

Głównym celem opisywanego szkodliwego programu była kradzież kluczy rejestracyjnych do popularnego oprogramowania.

Kilka dni temu znaleźliśmy nową szkodliwą aplikację, która podszywa się pod Kaspersky Trial Resetter (aplikację, przy pomocy której można zresetować okres licencji testowej na oprogramowanie, która wygasła).

Nowy szkodnik jest wykrywany jako Trojan-PSW.MSIL.Agent.wx i jak na razie tylko dwóch producentów, w tym Kaspersky Lab, potrafi go wykryć.

Haczyk polega na tym, że zamiast zresetować okres testowy, aplikacja kradnie informacje przechowywane na komputerze, takie jak hasła zachowane w przeglądarkach lub przez aplikację. According to the PE header, the malicious software was created on 31 January 2011, although the first infection reports appeared on 6...



Na Twitterze szybko rozprzestrzenia się nowy robak, wykorzystując do dystrybucji szkodliwych odsyłaczy usługę skracania adresów URL “goo.gl”.

Szkodliwe odsyłacze przechodzą przez wiele przekierowań, które zostały opisane poniżej. Łańcuch przekierowań może zaprowadzić użytkowników Twittera na stronę fałszywego oprogramowania antywirusowego “Security Shield”. Strona internetowa wykorzystuje dokładnie te same techniki zaciemniania co poprzednia wersja (Security Tool) – implementację szyfrowania RSA w JavaScript w celu zaciemnienia kodu strony.

Nasze programy chronią użytkowników przed tym robakiem, a wszystkie wykorzystywane przez niego adresy są umieszczone na czarnej liście.

Poniżej przedstawiamy szczegóły techniczne:

  1. Łańcuchy przekierowań
    Odsyłacze skrócone przy użyciu “goo.gl” przekierowują użytkowników do różnych domen ze stroną “m28sx.html”:

    Strona html przekierowuje...